Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Código: 233003
2018
PRUEBAS DE PENETRACIÓN A LA INFRAESTRUCTURA TECNOLÓGICA DE
LA EMPRESA TALLER INDUSTRIAL ALKAN S.A DE LA CIUDAD
GUADALAJARA DE BUGA, VALLE
Asesor Temático
Código: 233003
2018
CONTENIDO
INTRODUCCIÓN ................................................................................................................. 4
1 TITULO DEL PROBLEMA .......................................................................................... 5
1.1 antecedentes del problema......................................................................... 5
4
1 TITULO DEL PROBLEMA
5
pequeña y no se pensó que esta crecería de una manera acelerada y llegar a
tener tantos clientes, para lo cual no puede mitigar los riesgos en la seguridad
informática. Hay muchos tipos de amenazas los cuales ponen en peligro los
servicios prestados por el sistema de información, generando daños en los
procesos administrativos y comerciales de la empresa, como ha sucedido en
varias empresas de servicio tal como lo especifica el ministro de Defensa, Luis
Carlos Villegas, quien dijo que las autoridades atendieron entre enero y agosto del
2.017, 5.500 ataques cibernéticos, que han afectado principalmente al sector
privado2, Actualmente la empresa presenta algunas dificultades en la seguridad de
la información a partir de su segundo año de funcionamiento, cuando se detectó la
desaparición de alguna información sobre datos de clientes, bloqueo de archivos,
perdidas de conectividad sin explicación alguna, duplicación de la información y
derivación de información comercial no propia de la empresa por parte externa.
_____________________
1Norma Iso 27001 (2017). - Sistema de Gestión de la Seguridad de la Información. Disponible en
http://www.gesconsultor.com/iso-27001.html
2El colombiano.com (2017). Hackers han realizado 5.500 ataques cibernéticos en 2017. Disponible
en http://www.elcolombiano.com/colombia/hackers-han-realizado-5-500-ataques-ciberneticos-en-
2017-YD7126742
6
1.2 PLANTEAMIENTO DEL PROBLEMA
Surge de la necesidad de mantener control frente los riesgos que puede correr los
sistemas operativos y la base de datos en la empresa taller Alkan S.A.
7
3 JUSTIFICACIÓN
La empresa talleres Alkan S.A es una empresa con buena trayectoria, con un
excelente crecimiento debido a factores de los excelentes servicios que ofrecen en
el área metalmecanica, así como las excelentes estrategias de servicio de alto
standing. Para su funcionamiento se hace uso de las redes sociales que han
gozado de excelente aceptación y por lo tanto se hace indispensable tener una
buena proteccion en la seguridad informática que permita salvaguardar la
comunicación e información. Hasta la fecha esta empresa no cuenta con la
seguridad informática adecuada y ha presentado problemas como la desaparición
de alguna información sobre datos de clientes, bloqueo de archivos, perdidas de
conectividad sin explicación alguna, duplicación de la información y derivación de
información comercial no propia de la empresa por parte externa.
8
La importancia de la seguridad informática
Recomendaciones de la OCDE5
9
Recomendaciones ministerio de las tecnologías de la información y
telecomunicación (MINTIC)6
10
ISO 27001 (2.006)7
11
RESULTADOS DE LA REVISIÓN
12
http://www.oecd.org/internet/ieconomy/34912912.pdf
6MINTIC. (06 de Noviembre de 2016). Guía para la Implementación de. Disponible en
https://www.mintic.gov.co/gestionti/615/articles-5482_Guia_Seguridad_informacion_Mypimes.pdf
7NTC-ISO/IEC-27001. (22 de Marzo de 2006). TÉCNICAS DE SEGURIDAD. SISTEMAS DE
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI). Obtenido de
http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20
13
4 OBJETIVOS
14
5 MARCO DE REFERENCIA
Vulnerabilidad
15
También la vulnerabilidad (en términos de informática) es un fallo en un sistema
de información que coloca en riesgo la seguridad de la información permitiendo
que los atacantes puedan involucrar la integridad, disponibilidad o confidencialidad
del sistema de información, por lo que es necesario eliminarlas en corto tiempo.
Una amenaza es toda acción que aprovecha una vulnerabilidad para atentar
contra la seguridad de un sistema de información. Las amenazas pueden proceder
de ataques (fraude, robo, virus), sucesos físicos (incendios, inundaciones) o
negligencia y decisiones institucionales (mal manejo de contraseñas, no usar
cifrado). Desde el punto de vista de una organización pueden ser tanto internas
como externas. INCIBE, 201710
Control de acceso
Seguridad informática
16
entidades públicas y privadas deben establecer políticas de seguridad
implementando mecanismos de protección y evitar los medios de acceso que
generen vulnerabilidad al sistema de la información. Sus objetivos son:
17
• Información externa. La adquirida por la institución para disponer de
información sobre los temas de su interés
• Información corporativa o pública. La que la institución emite al exterior
18
5.3 MARCO LEGAL O JURÍDICO
____________________
8Linux adictos (2017). Herramientas de Kali Linux. Disponible en https://www.linuxadictos.com/las-
5-mejores-herramientas-encontraremos-kali-linux.html
9Voutssás Márquez,J.Preservación documental digital y seguridad informática. Investigación
bibliotecológica, 127-155.
10NCIBE INSTITUTO NACIONAL DE CIBERSEGURIDAD. Disponible en
https://www.incibe.es/protege-tu-empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-diferencian
11GUERRERO ERAZO, H. A., LASSO GARCES, L. A., & LEGARDA MUÑOZ, P. A. UNAD.
Disponible en
http://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/3451/1/5203676.pdf
12AGUILERA, Purificación. Seguridad informática. Editex, 2010. p.9
13Arévalo, J. A. (2012). MediCiego. Disponible en
http://www.bvs.sld.cu/revistas/mciego/alfin_2012/alfin_folder/2012%20Unidad%206/Bibliograf%ED
a/Lect%20B%E1sicas/Lectura_basica_5.Gestion_de_la_informacion_gestion_de_contenidos_y_co
nocimiento.pdf
14PONJUÁN DANTE, G. (2007). Gestión de información. Dimensiones e implementación para el
19
6 DISEÑO METODOLÓGICO
Para este proyecto aplicado se usará la norma ISO IEC 27001 (2006), la cual da
una variedad de controles para evaluar los riesgos asociados a la seguridad de la
información, donde se evalúa las vulnerabilidades en el Sistema de gestión de la
seguridad de la información de la empresa taller industrial Alkan S.A. Se aplicara
el modelo MAGERIT16 que nos permitirá analizar y gestionar los riesgos de sus
sistema, la evaluación de riesgos se establece al seleccionar los objetivos de
control y los controles a ser revisados, la medición realizada se fundamentara en
los porcentajes de cumplimiento: Menos del 50% del control se considera riesgo
de vulnerabilidad latente y mayor del 50% se considera de tratamiento adecuado y
no manifiesta existencia de vulnerabilidades relevantes para la seguridad de la
información. El proceso metodológico comprende los siguientes pasos:
20
En los casos anteriores se debe aumentar u optimizar el grupo de protecciones.
Proteger los recursos de los sistemas de información del taller industrial Alkan S.A
y la tecnología utilizada para su procesamiento, frente a amenazas, internas o
externas, con el fin de asegurar el cumplimiento de la confidencialidad, integridad,
disponibilidad, legalidad y confiabilidad de la información.
_____________________
16MOLINA MIRANDA, María Fernanda. PROPUESTA DE UN PLAN DE GESTIÓN DE RIESGOS
DE TECNOLOGÍA APLICADO EN LA ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL.
Madrid. 2015, 89. Trabajo fin de master. Universidad Politécnica de Madrid. Escuela Técnica
Superior de Ingenieros de Telecomunicación. Disponible en
http://www.dit.upm.es/~posgrado/doc/TFM/TFMs2014-
2015/TFM_Maria_Fernanda_Molina_Miranda_2015.pdf
21
Tabla 1. Recurso físico y financiero
Recurso tecnológico
1 Internet $250.000
Subtotal $4.300.000
Recurso material
1 Papelería $100.000
Subtotal $100.000
Fuente: El autor.
22
8 CRONOGRAMA DE ACTIVIDADES
23
9 BIBLIOGRAFÍA
AGENCIA EFE. Hackers han realizado 5.500 ataques cibernéticos en 2017. En: El
colombiano.com. Envigado: (2017), Disponible en
http://www.elcolombiano.com/colombia/hackers-han-realizado-5-500-ataques-
ciberneticos-en-2017-YD7126742
http://www.oecd.org/internet/ieconomy/34912912.pdf
24
DE LA INFORMACION. Bogotá. (06 de Noviembre de 2016). Disponible en
https://www.mintic.gov.co/gestionti/615/articles-
5482_Guia_Seguridad_informacion_Mypimes.pdf
25
AGUILERA, Purificación. Seguridad informática. 1ª Ed. Madrid: Editex, 2010. p.9
http://www.dit.upm.es/~posgrado/doc/TFM/TFMs2014-
2015/TFM_Maria_Fernanda_Molina_Miranda_2015.pdf
26